チケット認可サービス (TGS) 主体に DES 鍵しかない場合は、この鍵によって、チケット認可チケット (TGT) セッション鍵の暗号化タイプが DES に制限されます。KDC が、より強力な暗号化タイプをサポートするリリースに更新された場合は、TGS 主体がすべてのセッション鍵に対してより強力な暗号化を生成できるように、その主体の DES 鍵を置き換える必要があります。
この鍵はリモートで、またはマスターサーバー上で置き換えることができます。それには、changepw 権限が割り当てられている admin 主体である必要があります。
いずれかの Kerberos システムから TGS サービス主体鍵を置き換えるには、kadmin コマンドを使用します。
kdc1 % /usr/sbin/kadmin -p kws/admin
Enter password: xxxxxxxx
kadmin: cpw -randkey krbtgt/EXAMPLE.COM@EXAMPLE.COM
Enter TGS key: xxxxxxxx
Enter new TGS key:/** Type strong password **/
Re-enter TGS key to verify: xxxxxxxx
cpw は、change_password コマンドの別名です。–randkey オプションによって、新しいパスワードの入力を求められます。
KDC マスターに root としてログオンしている場合は、kadmin.local コマンドを使用できます。新しいデータベースパスワードの入力を求められます。
kdc1# kadmin.local -q 'cpw -randkey krbtgt/EXAMPLE.COM@EXAMPLE.COM'